Noticias

¿Hackers o insiders? Robo de 40 mdp a dependencia mexicana en ‘ciberataque’ reaviva alertas

Un supuesto hackeo en JMAPA resultó en el robo de 40 mdp; expertos sugieren un ataque interno por empleados con acceso privilegiado

El caso JMAPA muestra deficiencias de seguridad en dependencias públicas; expertos insisten en reforzar políticas contra fraudes internos.
El caso JMAPA muestra deficiencias de seguridad en dependencias públicas; expertos insisten en reforzar políticas contra fraudes internos. Foto: Dall-E, Publimetro México y JMAPA
Por Ignacio Gómez Villaseñor

El pasado 18 de marzo de 2025, la Junta Municipal de Agua Potable y Alcantarillado de San Felipe, Guanajuato (JMAPA), sufrió un supuesto ataque cibernético que resultó en el robo de más de 40 millones de pesos. El hackeo, que se tradujo en múltiples transferencias bancarias sospechosas, ha encendido las alarmas sobre la seguridad digital en instituciones públicas mexicanas, pero también ha despertado sospechas sobre la posible participación de empleados internos en el fraude.

Indicios de un ataque interno

Según el experto en ciberseguridad Víctor Ruiz, instructor certificado y fundador de SILIKN, el incidente parece estar más relacionado con un ataque interno que con una infiltración de hackers externos. “Alguien obtuvo los datos de las cuentas bancarias y fue haciendo las transferencias. De hecho, en las noticias mencionan que los directivos fueron despedidos. Y quizá el atacante trabajaba en conjunto con uno o varios de los directivos”, señaló Ruiz.

La posibilidad de un ataque interno se refuerza con la naturaleza de las transacciones realizadas. Se registraron al menos 16 movimientos bancarios por montos que oscilaron entre 2 y 5 millones de pesos cada uno, lo que sugiere un acceso legítimo a los sistemas financieros de JMAPA. En estos casos, el uso de credenciales válidas permitiría realizar las transferencias sin levantar sospechas inmediatas en los sistemas de seguridad del banco.

“Es posible que empleados de confianza hayan obtenido acceso a las cuentas bancarias y realizado las transacciones directamente. En ese escenario, podrían haber suplantado alguna identidad; sin embargo, cuando se cuenta con credenciales, contraseñas y tokens válidos, la suplantación no es necesaria, ya que el sistema bancario reconoce al usuario como legítimo”, explicó Ruiz.

La falta de leyes en ciberseguridad retrasa investigaciones de fraudes como el robo en JMAPA; México necesita regulaciones más estrictas.
La falta de leyes en ciberseguridad retrasa investigaciones de fraudes como el robo en JMAPA; México necesita regulaciones más estrictas.

Vulnerabilidades críticas en el sitio web de JMAPA

Más allá del desfalco financiero, el sitio web de JMAPA (https://sitio.jmapa.mx/) presenta severas fallas de seguridad que lo hacen susceptible a ataques cibernéticos. De acuerdo con un análisis realizado por SILIKN, estas vulnerabilidades incluyen:

  • Uso de protocolos obsoletos TLS 1.0 y 1.1, lo que expone las comunicaciones a ataques de interceptación.
  • Carga de JavaScript desde dominios externos sin validación, permitiendo la ejecución de código malicioso.
  • Ausencia de cabeceras esenciales de seguridad como Content Security Policy (CSP), X-Content-Type-Options y Anti-clickjacking, dejando al sitio expuesto a ataques como Cross-Site Scripting (XSS) y Clickjacking.

Estas fallas no solo dejan en riesgo la integridad de los sistemas de JMAPA, sino que también pueden facilitar ataques internos. “Estas vulnerabilidades pueden ser explotadas por empleados que tengan acceso interno. Pueden interceptar datos aprovechando los protocolos TLS obsoletos, insertar scripts maliciosos mediante la carga de JavaScript externo sin control o manipular la interfaz y engañar a otros usuarios”, explicó Ruiz.

Un problema recurrente en dependencias mexicanas

El caso de JMAPA no es aislado. Ruiz advierte que múltiples organismos de agua potable en México presentan fallas similares. Entre los ejemplos recientes, SILIKN ha identificado vulnerabilidades en:

  • Junta de Agua Potable, Drenaje y Alcantarillado de Irapuato, Guanajuato (vulnerabilidad en Windows Server).
  • Sistema Operador de Agua Potable de Atlixco, Puebla (phishing en Microsoft 365 y vulnerabilidad en Windows Server).
  • Agua y Saneamiento de Toluca, Estado de México (vulnerabilidad en Microsoft Office y WordPad sin parches).
  • Organismo Operador de Cajeme, Sonora (phishing en Microsoft 365, vulnerabilidad en WordPress y Microsoft Office sin parches).

Este patrón revela que muchas dependencias públicas carecen de medidas de seguridad básicas, ya sea por falta de capacitación, ausencia de mantenimiento o incluso la negligencia de sus empleados.

“Frecuentemente, carecen de las medidas de seguridad adecuadas, ya que en muchos casos apenas cuentan con la infraestructura tecnológica mínima para mantenerse operativos”, agregó Ruiz.

¿Dónde está el dinero?

Tras el hackeo, el Ayuntamiento de San Felipe destituyó al consejo directivo de JMAPA y presentó una denuncia ante la Fiscalía General del Estado de Guanajuato; sin embargo, aún no se ha informado si el dinero podrá ser recuperado ni si las investigaciones han identificado a los responsables.

Lo que sí es claro, de acuerdo con Víctor Ruiz, es que la falta de una ley integral de ciberseguridad en México retrasa las investigaciones y deja a muchas instituciones vulnerables a ataques similares.

“La ausencia de una legislación sólida dificulta la determinación de responsabilidades y la aplicación de sanciones adecuadas”, concluyó el especialista.

Recomendados:

DV Player placeholder

Tags

Lo Último